Linux Virtual Delivery Agent

Sesiones de usuario seguras mediante TLS

A partir de la versión 7.16, Linux VDA admite el cifrado TLS para proteger las sesiones de usuario. El cifrado TLS está inhabilitado de forma predeterminada.

Habilitar el cifrado TLS

Para habilitar el cifrado TLS y proteger las sesiones de usuario, instale certificados y habilite el cifrado TLS en el Linux VDA y el Delivery Controller (el Controller).

Instalar certificados en Linux VDA

Obtenga certificados de servidor en formato PEM y certificados raíz en formato CRT. Un certificado de servidor contiene estas secciones:

  • Certificado
  • Clave privada no cifrada
  • Certificados intermedios (opcional)

Un ejemplo de certificado de servidor:

Un ejemplo de certificado de servidor

Habilitar el cifrado TLS

Habilitar el cifrado TLS en Linux VDA

En Linux VDA, use el script enable_vdassl.sh del directorio /opt/Citrix/VDA/sbin para habilitar (o inhabilitar) el cifrado TLS. Para obtener información acerca de las opciones disponibles en el script, ejecute el comando /opt/Citrix/VDA/sbin/enable_vdassl.sh -help.

El script para habilitar SSL

Sugerencia: Debe instalar un certificado de servidor cada servidor Linux VDA; debe instalar certificados raíz en cada cliente y servidor Linux VDA.

Habilitar el cifrado TLS en el Controller

Nota:

Solo puede habilitar el cifrado TLS para grupos de entrega enteros. No puede habilitar el cifrado TLS para aplicaciones específicas.

En una ventana de PowerShell en el Controller, ejecute estos comandos uno tras otro para habilitar el cifrado TLS para el grupo de entrega de destino.

  1. Add-PSSnapin citrix.*
  2. Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true

Nota:

Para asegurarse de que solo los nombres de dominio completos de los VDA están contenidos en el archivo de una sesión ICA, también puede ejecutar el comando Set-BrokerSite –DnsResolutionEnabled $true. Este comando habilita la resolución DNS. Si inhabilita la resolución DNS, el archivo de una sesión ICA revela las direcciones IP los de VDA y proporciona nombres de dominio completos únicamente para los elementos relacionados con TLS, como SSLProxyHost y UDPDTLSPort.

Para inhabilitar el cifrado TLS en el Controller, ejecute estos comandos uno tras otro:

  1. Add-PSSnapin citrix.*
  2. Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $false
  3. Set-BrokerSite –DnsResolutionEnabled $false

Troubleshooting

Es posible que se produzca el error “No se puede asignar la dirección solicitada” en la aplicación Citrix Workspace para Windows al intentar acceder a una sesión de escritorio publicado:

No se puede asignar la dirección solicitada

Como solución temporal, agregue una entrada al archivo hosts, que sea similar a:

<IP address of the Linux VDA>      <FQDN of the Linux VDA>

En las máquinas Windows, el archivo hosts normalmente se encuentra en C:\Windows\System32\drivers\etc\hosts.

Sesiones de usuario seguras mediante TLS